У нас есть довольно простые правила ACL и NAT, разрешающие входящий RDP и NAT для IP-адреса LAN (все IP-адреса заменены на IP)
object network STATIC-PAT-RDP
host IP
access-list outside_access_in extended permit object TerminalServices any object IP log debugging
access-list OUTSIDE-IN remark Allow RDP
access-list OUTSIDE-IN extended permit tcp any object STATIC-PAT-RDP eq 3389
object network STATIC-PAT-RDP
nat (inside,outside) static interface service tcp 3389 3389
access-group OUTSIDE-IN in interface outside
Однако соединение разрывается при попадании на интерфейс WAN:
7 May 05 2015 11:37:56 IP 4335 IP 3389 TCP request discarded from IP to outside:IP
Я лично никогда не видел этого раньше - устройство прослушивает 3389 через netstat -ano, и я могу использовать RDP внутри.